Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Mejorar el rendimiento.
Asumiendo que la direccin de la empresa opta por la automatizacin de sus proced imientos,
pueden encontrarse algunas ventajas, tanto de cara al proceso contable, como para la auditora en
general y la financiera en particular.
Respecto al proceso contable:
Reduccin del nmero de datos a grabar (ms an si se est en un entorno de base de datos).
pertinente asiento se toma en el momento mismo de expedir la factura para un cliente, la posibilidad
de error decrece, ya que no ser necesario volver a reescribir unos datos que en el momento de la
expedicin de la factura sern comprobados por quien emite la factura, por el cliente, y algunos de
ellos, interactivamente por el propio sistema.
Respecto a la auditora:
El hecho de que los datos existan una sola vez, evitando duplicaciones innecesarias, ahorra
Comprobaciones en el proceso
Las principales tcnicas para la comprobacin de los programas contables pueden clasificarse en
tres grupos:
1. Comprobacin del proceso mediante la utilizacin de datos de prueba. Este mto do presentado
por Thomas Porter, se basa en los siguientes puntos:
a ) El auditor prepara un conjunto de datos de entrada simulados.
b) Este conjunto de datos es sometido a dos procesos independientes que pro porcionan dos
informaciones de salida: la calculada por el auditor manualmente o con programas propios, y la
calculada por los programas contables de la empresa auditada.
c ) Se establece una comparacin entre las dos informaciones de salida para detectar posibles
diferencias entre ellas.
d ) Si se detectan diferencias, stas sirven de inicio para un anlisis ms a fondo. Si por el contrario,
las diferencias no existieran, se aceptan como buenos los programas de la empresa y se verifican
las entradas, en funcin de los documentos base para tales entradas. Este mtodo es sencillo y fcil
de comprender, por lo que a priori resulta aconsejable, si bien admite algunas objeciones como
stas:
en el que entren criterios subjetivos del auditor, como, por ejemplo, su confianza en el sistema de
control, corriendo el riesgo de tomar una muestra de tamao no adecuado.
Los datos finales suelen estar codificados en un gran nmero de soportes, lo que
dificulta su acceso.
En auditora externa nada garantiza que los programas probados son realmente los
3. Empleo de modelos.
Esta tcnica de empleo de modelos es una aplicacin ms generalizada que las dos anteriores.
4.1.2. El beneficio obtenido del ordenador por la auditora financiera
La enorme ayuda que proporciona la computadora en el proceso de auditora financiera, pues
muchos de sus trabajos son repetitivos y programables, lo es est o no est mecan izada la
contabilidad de la empresa a examinar. Dichas ayudas se concretan en los
La total normalizacin contable, ya que esta normalizacin es una de las causas que han
4.3.1. Introduccin
La clasificacin de la informacin debe utilizarse para facilitar la seguridad de los recursos y los
datos [16]. Si es utilizada adecuadamente puede contemplarse como un medio para comunicar a
todos los usuarios la proteccin que requiere cada uno de los datos.
Es de destacar una figura que aparece cada vez ms en la documentacin tcnica: el responsable
propietario de los ficheros. Segn se va desarrollando la tecnologa cada vez es ms necesaria esta
figura. Ya ha terminado la poca en la que el responsable de informtica lo era tambin de los
ficheros.
Ahora la informtica se contempla como lo que es, una simple herramienta, todo lo poderosa que se
quiera, pero slo eso. Las comunicaciones hacen posible que los responsables de cada rea,
verdaderos propietarios de los datos que manejan, asuman tambin la responsabilidad sobre stos.
En la clasificacin de la informacin puede ocurrir que el responsable propietario no sea nico (por
ejemplo cuando se trate de informacin almacenada en las bases de datos corporativas). La
asignacin de la propiedad en estos casos debe estar coordinada con la funcin de administracin
de la informacin.
Un aspecto importante para la seguridad de los datos es la estructura del esquema de clasificacin,
ya que afectar a su implantacin. La estructura es especfica de cada organizacin, existiendo
varios esquemas: clasificacin por niveles, por categoras, combinada, etc.
La clasificacin por niveles se basa en un esquema de clasificacin jerrquica en el que el nivel ms
bajo es, normalmente, "no clasificado" y el nivel ms alto, "secreto o alto secreto". El orden de los
niveles implica la importancia relativa de los datos y los requisitos de los procedimientos de
seguridad.
En algunos casos, especialmente dependencias militares, se utilizan niveles separados para datos y
usuarios. El acceso a los datos se basa en el nivel asignado al usuario y en el nivel de clasificacin
de los datos; si el nivel del usuario no es igual, al menos, al nivel de clasificacin de los datos, el
acceso se deniega.
La clasificacin por categoras no es jerrquica y se utiliza para grupos independientes de datos y
recursos que necesitan procedimientos similares de proteccin. Las categoras diferentes no tienen
ninguna relacin ni dependencia entre ellas. Las categoras se asignan tanto a usuarios como a
datos; si el usuario no tiene la misma categora (o categoras) que los datos, el acceso es denegado.
La clasificacin combinada se basa en ambas estructuras. La combinacin de niveles jerrquicos y
categoras no jerrquicas se representa en una tabla de seguridad. Para realizar la clasificacin
completa de la informacin se necesita tanto el nivel como la categora.
Los criterios de clasificacin deben elegirse en base a los riesgos de los datos y los recursos. Por
ejemplo, una clasificacin puede hacerse en base a su sensibilidad: a su destruccin, a su
modificacin o a su difusin.
La sensibilidad a su destruccin se refiere al borrado o a no tener disponibles los recur sos, datos o
programas. Toda aquella informacin de la organizacin que es necesaria para la continuacin de su
negocio es sensible a su destruccin. Es vital para la supervivencia del negocio de aquella que esta
informacin est convenientemente protegida. Este tipo de sensibilidad afecta a la disponibilidad de
la informacin.
Los datos confidenciales son datos de difusin no autorizada. Su uso puede supon er un
Los datos restringidos son datos de difusin no autorizada. Su utilizacin ira contra los
intereses de la organizacin y/o sus clientes. (Datos de produccin de la organizacin y/o de sus
clientes, programas o utilidades, software, datos de personal, datos de inventarios, etc.)
3.
Los datos de uso interno no necesitan ningn grado de proteccin para su difusin dentro de la
Los datos no clasificados no necesitan ningn grado de proteccin para su difusin. (Informes
Lgica
Organizativo-Administrativa
Jurdica
La seguridad fsica, siguiendo a Ribagorda Garnacho comprende las medidas externas a los Centros
de Procesos de Datos, de proteger a estos y a su entorno de amenazas fsicas tanto procedentes de
la naturaleza de los propios medios, como del hombre. Entre las amenazas previsibles podemos
citar: inundaciones, fuego, cortes de fluido elctrico, interferencias, atentados, robos, hurtos, etc.
La seguridad lgica pretende proteger el patrimonio informacional que se compone tanto de las
aplicaciones informticas como del contenido de las bases de datos y de los ficheros. La proteccin
de este tipo se puede realizar a travs de contraseas, tanto lgicas como biomtricas,
conocimientos y hbitos del usuario, firmas digitales y principalmente la utilizacin de mtodos
criptogrficos.
La seguridad organizativo-administrativa pretende cubrir el hueco dejado por las dos anteriores y
viene, cierto modo a complementarlas. Difcilmente se puede lograr de forma eficaz la seguridad de
la informacin si no existen claramente definidas:
Polticas de seguridad.
Polticas de personal.
13
Planes de Contingencia
La seguridad jurdica pretende, a travs de la aprobacin de normas legales, fijar el marco jurdico
necesario para proteger los bienes informticos.
4.3.3. Caractersticas de la informacin
Una definicin vlida de seguridad de la informacin podra ser que es el conjunto de sistemas y
procedimientos que garantizan: la confidencialidad, la integridad y la disponibilidad de la informacin.
Estas son las tres caractersticas que definen lo que es la seguridad de la informacin.
La confidencialidad pretende que la informacin sea conocida exclusivamente por los usuarios
autorizados en la forma y tiempo determinado previamente.
La integridad pretende que la informacin sea creada, modificada o borrada slo por los usuarios
autorizados.
La disponibilidad pretende que la informacin se pueda utilizar cuando y cmo lo requieran los
usuarios autorizados.
En resumen ha de ser imposible alterar los mensajes, su autora ha de ser inequvoca y debe tener
valor probatorio en caso necesario.
4.3.4.
La Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de los datos
de carcter personal regulaba la seguridad de los datos en su artculo 9. Dicha Ley ha sido derogada
por la Ley Orgnica 15/1999, de 13 de diciembre de 1999, de Proteccin de los Datos de carcter
personal que mantiene el artculo 9 sobre la seguridad de los datos introduciendo en el mismo las
modificaciones necesarias para adaptarlos a la nueva Ley.
14
stas son: la responsabilidad de adoptar las medidas de seguridad que anteriormente eran
obligatorias tan slo para el responsable del fichero y en este caso tambin alcanzan al encargado
del tratamiento en las ocasiones que exista esta nueva figura.
Asimismo desaparece del artculo toda referencia a ficheros automatizados toda vez que sta
categora de ficheros desaparece en la nueva ley al ser el objeto de sta mucho ms ambicioso que
el de la LORTAD1.
La nueva Ley (a la que a partir de ahora denominaremos LOPD 2) en su Disposicin transitoria
tercera regula la subsistencia de las normas preexistentes disponiendo que hasta que no se lleve a
efecto la aprobacin o modificacin por el Gobierno de las disposiciones reglamentarias para la
aplicacin y desarrollo de la LOPD, prevista en la Disposicin final primera, continuarn en vigor, con
su propio rango, las normas reglamentarias preexistentes y en especial los tres Reales Decretos a
los que nos referamos con anterioridad, siempre y cuando no se opongan a la presente Ley.
4.3.5.
15
Ficheros convencionales seran el resto de ficheros organizados entre los que podramos encontrar:
hojas clnicas, expedientes, fichas, manuales, etc.
La LOPD ha eliminado la distincin entre ficheros automatizados y convencionales y en su artculo 2
al referirse al "mbito de aplicacin" dice: La presente Ley Orgnica ser de aplicacin a los datos
de carcter personal registrados en soporte fsico, que los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos datos por los sectores pblico y privado. Extiende el
1
16
Polticas.
Plan de Seguridad.
Plan de Contingencia.
Dentro del apartado de Polticas podemos entender que se engloban las siguientes exigencias del
Documento:
Medidas, normas, procedimientos, reglas y estndares.
17
En el Reglamento aparecen dos figuras importantes para el desarrollo del mismo: una ya conocida,
el responsable del fichero y otra nueva que slo aparece en el caso de que se trate de ficheros con
un nivel de seguridad medio y alto.
A continuacin enumeramos las funciones de cada uno de ellos:
1. Responsable del fichero:
a ) Deber adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la
seguridad de los datos de carcter personal en los trminos establecidos en el Reglamento.
b ) Autorizar la ejecucin de tratamiento de datos de carcter personal fuera de los locales de la
ubicacin del fichero (art. 6).
c ) Elaborar el Documento de Seguridad (art. 8).
d ) Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que
afecten al desarrollo de sus funciones as como las consecuencias a que dara lugar su
incumplimiento (art. 9).
e ) Se encargar de que exista una relacin actualizada de usuarios que tengan acceso autorizado
al Sistema de Informacin (art. 11).
f)
Establecer los procedimientos de identificacin y autenticacin para dicho acceso (art. 11).
g)
Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con
Ser quien nicamente pueda autorizar la salida fuera de los locales en que est ubicado el
fichero de soportes informticos que contengan datos de carcter personal (art. 13).
i)
18
j) (Medidas de seguridad de nivel medio y alto de medidas de seguridad) Designar uno o varios
responsables de seguridad (art. 15).
k ) Adoptar las medidas correctoras necesarias en funcin de lo que se diga en el informe de
auditora (art. 17).
l) Establecer un mecanismo que permita la identificacin de forma inequvoca y personalizada de
todo aquel usuario que intente acceder al Sistema de Informacin y la verificacin de que est
autorizado (art. 18).
m ) Autorizar por escrito la ejecucin de los procedimientos de recuperacin
(art. 21).
2. Responsable de seguridad. a ) Pueden ser uno o varios.
b)
c)
Elevar las conclusiones del anlisis al responsable del fichero (art. 17).
f)
g)
h ) Una vez al mes elaborar un informe de las revisiones realizadas en el registro de accesos (art.
24).
19